Protection de l’utilisateur de carte bancaire victime d’une fraude par hameçonnage

La généralisation des payements par carte bancaire, dans le commerces physiques ou sur internet a pour conséquence une augmentation notable des cas de fraude. Les données sont copiées, ou récupérées par divers moyens par des pirates qui effectuent ensuite des achats. Le titulaire du compte piraté est bien souvent démuni face à un établissement de crédit peu enclin à le rembourser.

Les nostalgiques des bons vieux commerces pourront continuer d’aller au marché et régler en espèce. Pour les autres, ils seront rassurés de savoir que par un arrêt en date du  18 janvier 2017, pourvoi n° 15-18102, la Cour de cassation a donné raison à la victime d’une opération de « hameçonnage », qui demandait le remboursement des sommes volées sur son compte.

La Cour de cassation protège les titulaires de compte

Dans cette affaire, monsieur X…, titulaire d’un compte dans les livres d’une banque avait semble t-il répondu à un mail frauduleux (hameçonnage) au terme duquel, un interlocuteur, se faisant passer pour sa banque, lui avait demandé de renseigner toutes les données permettant d’effectuer des payements à distance. Monsieur X… avait par la suite découvert que son compte avait été débité. Il avait donc contesté trois opérations de payement effectuées sans son accord et avait demandé à sa banque le remboursement des sommes frauduleusement soustraites de son compte. La banque s’est opposée à la demande de monsieur X… en arguant du fait qu’il avait commis une faute en donnant à un tiers des informations confidentielles qui avaient ensuite permis à des tiers de procéder aux opérations contestées.

C’est au visa des articles L. 133-16 et 133-17 du Code monétaire et financier que la Cour de cassation rappelle que si il appartient aux utilisateurs de services de payement d’être vigilants et de ne pas communiquer les donner confidentielles concernant leurs comptes, c’est bien à l’établissement bancaire de prouver que l’utilisateur qui conteste avoir donné son accord à la réalisation de payement a commis une négligence. En l’espèce, la banque ne peut pas exclusivement se fonder sur le fait que les données de payement personnelles de l’utilisateur aient été activées, pour en déduire qu’il avait manqué intentionnellement ou par négligence grave à ses obligations.